Codeschmuggel-Lücke in Ghostscript wird angegriffen
IT-Forscher haben mehrere Sicherheitslücken in Ghostscript entdeckt. Eine davon wird offenbar bereits angegriffen.
Updates sind verfügbar.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
IT-Sicherheitsforscher haben fünf Sicherheitslücken in Ghostscript aufgespürt. Angreifer können dadurch beispielsweise die Sandbox umgehen und beliebigen Code ausführen. Für mindestens eine der Lücken steht ein Proof-of-Concept-Exploit öffentlich zur Verfügung. Die Codeschmuggel-Lücke wurde einem Bericht zufolge bereits in freier Wildbahn angegriffen. Updates und Patches stehen bereits zur Verfügung.
Die IT-Sicherheitsforscher der Codean Labs haben die Informationen zu den fünf Sicherheitslücken in einem Mailinglisten-Post zusammengetragen. Zu einer Lücke haben sie einen ausführlichen Blog-Beitrag erstellt und präsentieren dort ihre detaillierte Analyse, nebst einem anpassbaren Proof-of-Concept-Exploit.
Fünf Sicherheitslücken in Ghostscript
Konkrete Risikobewertungen, etwa nach CVSS-Standard, liefern die IT-Forscher nicht. Aufgrund unzureichender Parameterfilterung kann ein Heap-basierter Pufferüberlauf beim Verarbeiten eines PDF-Passwort-Parameters auftreten (CVE-2024-29509). Bei der Verarbeitung von CIDFSubstPath/Font-Parametern kann es zu einem Stack-Überlauf kommen (CVE-2024-29507). Aufgrund eines Fehlers in pdf_base_font_alloc() können Angreifer unter Umständen Werte von Pointern auslesen (CVE-2024-29508). Die Konfiguration von Tesseract, die für OCR zum Einsatz kommt, können Angreifer missbrauchen, um beliebige Dateien zu lesen und zu schreiben (CVE-2024-29511).
Die gravierendste Lücke jedoch betrifft das Uniprint-Device. Darin findet sich eine Format-String-Schwachstelle. Durch das Anlegen eines Seiten-Geräts mit entsprechenden Optionen erhalten Angreifer Kontrolle über den Format-String. Durch das Setzen eines temporären Pfads erhalten sie Zugriff auf die Geräteausgabe und können auf Daten vom Stack zugreifen. Am Ende ist das Einschleusen und Ausführen von Schadcode möglich (CVE-2024-29510).
Diese Schwachstellen sind deshalb relevant, weil Ghostscript oftmals im Backend zum Einsatz kommt, etwa für Dokumentenvorschau-Funktionen oder Formatumwandlungen. Etwa ImageMagick setzt darauf, aber auch LibreOffice bringt Ghostscript mit – es ist derzeit jedoch unklar, ob die Bürosoftware ebenfalls betroffen ist. Die Fehler sind in Ghostscript 10.03.0 behoben, teils aber erst in Ghostscript 10.03.1 aus dem Mai 2024. Viele Linux-Distributionen liefern bereits aktualisierte Pakete aus oder haben Patches bereitgestellt. IT-Verantwortliche sollten sicherstellen, Ghostscript auf dem aktuellen Stand einzusetzen.
Der Nutzer Bill Mill hat auf Mastodon berichtet, dass er einen Angriff auf die Sicherheitslücke in freier Wildbahn abgewehrt habe. Es sei daher "nicht nur ein theoretisches Problem", ergänzt er.
Vor ziemlich genau einem Jahr wurde in Ghostscript ebenfalls eine Lücke entdeckt, die das Einschleusen von Schadcode erlaubte. Damals waren explizit auch LibreOffice und andere Pakete betroffen, die Ghostscript mitbringen.
(dmk)